Agentem FBI w OpenSource

Dla wszystkich, którym nieobojętny jest świat komputerów, programów komputerowych, sieci i wszystkiego, co jest z tym związane informacja o zainstalowaniu przez FBI backdoora w OpenBSD (tylnych drzwi przez które można przeprowadzić kontrolowany włam lub nasłuch) była dość sporym zaskoczeniem i wywołała spodziewaną dyskusję na temat prawdziwości powyższych doniesień oraz stabilności jednego z najpopularniejszych systemów operacyjnych świata, który pilnuje dostępu do sieci i komputerów lokalnych z Internetu w największych korporacjach (z firmami hostingowymi i providerami włącznie).

OpenBSD to skomplikowany system z rodziny UNIXów. Developerzy projektu długo pracowali, aby uczynić z niego sztandarowy produkt projektu OpenSource. Dzięki OpenBSD możliwe było skrzyknięcie najlepszych programistów świata, osób, które dla idei rozwijają sieć oraz pracują na rzecz udoskonalania rozwiązań pozwalających uzyskać wysokim poziom bezpieczeństwa.

Theo de Raadt ujawnia treść e-mail

Kilka dni temu gruchnęła informacja, że Theo de Raadt został "automatycznie zobligowany" do upublicznienia wiadomości e-mail jaką otrzymał od Gregory'ego Perry na temat przygotowania backdoora na zlecenie FBI. Wiadomość od Perry'ego obliczona na rozgłos, który szybko uzyskała  - Raadt musiał odpędzić od siebie oskarżenia o udział w spisku i zachował się w sprawie tych doniesień bardzo profesjonalnie, o czym za chwilę - zawierała także informację, iż w działania inspirowane przez agentów amerykańskich zaangażowany był jeden z liderów projektu bsd Jason Wright.

Theo de Raadt zwrócił uwage, że sprawa, którą denuncjuje Perry ma dziesięcioletnią historię - od tego czasu wiele się zmieniło w projekcie OpenBSD, zostało załatane wiele dziur i poprawione wiele błędów. Dodatkowo Raadt wystosował apel do Perry'ego, ze jeśli faktycznie istnieje luka w bezpieczeństwie oczekuje na wskazanie kodu, który odpowiedzialny jest za tylne drzwi. Głos w tej sprawie zabrał także sam pomawiany - Jason L. Wright - który powiedział, że nie miał specjalnie do czynienia z protokołem IPSec, a jedynie zajmował się dystrybucją sterowników do urządzeń i frameworków. Innymy słowy nie pracował nad rozwiązaniami sieciowymi w takim stopniu, aby móc wpłynąć na losy kodu. Przy okazji nie omieszkał dodać, że nie życzy sobie pod swoim adresem kalumni i idiotycznych oskarżeń, które mają spowodować rozgłos i promowanie nazwiska Perry'ego oraz nakarmienie jego wybujałych ambicji. Wezwał także Perry'ego do publicznych przeprosin za bajki, jakie opowiada.

Afera, która rozbija się o IPSec jest bardzo poważna. Jest tak dlatego, że IPSec uchodzi obecnie za najbezpieczniejszy protokół szyfrujący. IPSec wyrosły na OpenBSD jest używany w całości lub częściowo w wielu innych systemach operacyjnych. Luka w bezpieczeństwie IPSec oznacza podważenie wiarygodności unixów oraz zagraża stabilności wszystkich użytkowników sieci, którzy swoje bezpieczeństwo ufundowali na tym protokole.

IPSec jako filar bezpieczeństwa połączeń sieciowych

Istotą IPSec jest stworzenie skuteczniejszej ochrony niż i tak skuteczne tunele VPN - prywatne połączenia szyfrowane. IPSec posiada dwa kanały - uwierzytelniania oraz numerów sekwencyjnych - szyfrowane przez określone algorytmy. Żeby zaatakować IPSec wprost napastnik musiałby znać nie tylko numery sekwencyjne, które pasują do określonych danych (jak klucze do zamków) ale także wiedzieć czym akurat jest szyfrowany kanał transmisji oraz jakie dane przesyła.

Opublikowanie newsa, który zburzył spokój programistów i develperów rozwiazań sieciowych w grudniu  tego roku daje do myślenia. Jaki jest sens działań, których celem jest zranienie środowiska OpenSource i sączenie czarnego PR wokół projektu, wokół spraw zwiazanych z bezpieczeństem Sieci? Czy jest to taktyka obliczona na zysk rozwiązań alternatywnych być może komercyjnych (Cisco, Intel)? Wątpliwe. Nie mamy dużej ilości systemów opracyjnych, które mogą zastapić BSD, a także nie mamy zbyt wielu protokołów sieciowych, które mogą zastapić IPSec. Poza tym rozwiązania komercyjne kosztują i także mają swoje ograniczenia.

Czy sprawa rzekomego backdoora od FBI związana jest dalszym osłabianiem wiarygodności USA i kampanią antyamerykańską autorstwa WikiLeaks i Assange'a, który był jak wiadomo znanym programistą i hackerem? Trudno jest mi w tym momencie odpowiedzieć na powyższe pytanie. W każdym razie zamęt wokół IPSec służy bardzo źle polityce bezpieczeństwa w sieci i naraża wielkie korporacje na stresy oraz zniechęcenie do wolnego oprogramowania sygnowanego nazwiskami amerykańskich lub działających na terenie USA developerów. Możliwy jest także scenariusz, który polega na zbuntowaniu środowiska OpenSource sugerując, że FBI nie tylko ich szpieguje, ale także niszczy ich pracę i umożliwia przestępcom wejście w posiadanie narzędzi omijających zabezpieczenia (jeśli FBI mogło, to może inni też). Wiadomo, że dla OS nie ma większej zbrodni niż agenturalne działania przeciwko ich komputerowym pociechom.